Ransomware, ligesom alle andre cyber trussel, er i konstant udvikling og tilføje nye funktioner til sit sæt af kapaciteter. Ransomware affilierede programmer er også en stor faktor, som enhver wannabe-cyberkriminel med grundlæggende færdigheder nu kan deltage og lave nogle (løsesum) penge.
| Navn | CTB-Locker |
| Type | Ransomware |
| Kort beskrivelse | CTB-Lockers seneste variant er målrettet mod webservere. |
| Symptomer | En del af angrebet er webskifte. Webstedsgrænsefladen erstattes af, hvad der ser ud til at være en løsemiddelmeddelelse med instruktioner. |
| Distributionsmetode | Ganske sandsynligt – udnyttelse af WordPress sårbarheder; tredjeparts WordPress-plugins; spam emails. |
| Værktøj Detection | Hent Malware Removal Tool, for at se, om dit system er blevet påvirket af malware |
| Brugererfaring | Tilmeld dig vores forum at diskutere CTB-Locker. |
| Data Recovery Tool | Windows Data Recovery af Stellar Phoenix Varsel! Dette produkt scanner dine drev sektorer til at gendanne mistede filer, og det kan ikke komme sig 100% af de krypterede filer, men kun få af dem, afhængigt af situationen og uanset om du har omformateret drevet. |
Undertiden, det er helt åbenlyst for cyberforskere, at den bestemte ransomware blev lavet af 'begyndere' eller 'amatører'. Og sådanne tilfælde ender normalt med dekrypteringssoftware frigivet og tilgængeligt for ofre til at gendanne deres filer. Men, i andre tilfælde, ransomware varer.
CTB-Locker, eller løg, er et perfekt eksempel på ondsindede kodere, der aldrig giver op og søger nye måder at genopfinde deres ransomware på. I betragtning af dets høje infektionsrater og den generelle destruktivitet, CTB-locker blev endda udnævnt til en af top ransomware familier af 2015. I 2016, CTB-Locker er fortsat en spiller, med en ny variant lige udgivet i naturen.
Hvad er nyt i CTB-Lockers nye variant?
Hovedsagelig, den nyeste variant af den berygtede ransomware er udelukkende målrettet mod webservere. Ifølge forskere ved Kaspersky Lab, mere end 70 servere (muligvis endnu mere) i 10 lande er allerede blevet angrebet med succes. Heldigvis, Kaspersky-forskere var i stand til at gennemføre en detaljeret teknisk analyse, da flere ofre kontaktede dem og sendte dem 'kryptorer'’ der kompromitterede deres webservere.
CTB-Locker Server Edition: Teknisk Genoptag
Den løsesum, der kræves af den nye variant, er ca. $150, eller mindre end en halv bitcoin. Men, hvis løsesummen ikke overføres til tiden, summen fordobles til $300. Når betalingen er afsluttet, dekrypteringsnøglen genereres og kan bruges til at gendanne serverens filer.
Forskere var i stand til at opdage, at infektionsprocessen fandt sted på grund af sikkerhedshuller i ofrenes webservere. Når de pågældende sårbarheder er udnyttet, webstedet er defaced.
Hvad er nedlægning af websted?
Kort, nedlægning af websted er en type angreb, der ændrer webstedets grænseflade. Angribere bryder normalt ind på en webserver og erstatter det hostede websted med deres eget websted (via Wikipedia). Forskere har konkluderet, at de fleste af de seneste fordrejningsangreb ikke er tilfældige, men kan have politiske eller kulturelle motiver.
Hvad angår løsesummeddelelsen, der er faldet af servervarianten af CTB-Locker a.k.a. webstedsversionen af CTB-Locker, det er en detaljeret, der giver nogle interessante fakta:
Så synlig, udlægningen af hjemmesiden er selve løsesummen. Den originale kode slettes ikke og gemmes i en krypteret tilstand på webroten. Dets navn ændres også.
Det nøjagtige sikkerhedshul, der starter angrebet på ofrenes webservere, er endnu ikke opdaget. Men, mange af angrebene på serverne har en ting til fælles – WordPress.
Det er ikke en hemmelighed for nogen det WordPress-websteder, der kører forældede versioner af platformen er fulde af sårbarheder. Desuden, WordPress har et andet svagt punkt - plugins. Brug af tredjepart, mistænkelige plugins sætter webservere i fare for forskellige angreb og indtrængen.
Mere om emnet: TeslaCrypt spredning via kompromitterede WordPress-websteder
Når sårbarheden er fundet og udnyttet, og ransomware-operatøren er inde i WordPress, den vigtigste webstedsfil udskiftes, og krypteringsprocessen startes. Derefter, hovedfilen omdøbes, krypteret og gemt. Forskere var i stand til at identificere, at to forskellige AES-256 nøgler bruges i angrebene.
1. create_aes_cipher($keytest) - krypterer de to filer, der kan dekrypteres gratis.
2. create_aes_cipher($KeyPass) - krypterer resten af filerne, der er vært på serverens webrot.
En anden ejendommelig funktion, der findes i serverudgaven af CTB-Locker, er, at ransomware-operatørerne dekrypterer to filer gratis. Men, offeret har ikke mulighed for at vælge filerne til dekryptering. Et chatrum til kommunikation med de ondsindede operatører er også tilgængeligt.
Ransomware fjernelseshåndbog og tip til sikkerhedskopiering af data
For flere tekniske detaljer om angrebet, besøg Kaspersky Lab.
Som med alle sager om ransomware, eksperter sikkerhedsmæssige’ rådgivning tager sikkerhedskopi af alle vigtige data, åbner ikke mistænksom, uventede e-mails, og ikke bruger tredjepartssoftware. Eller i tilfælde af WordPress – plugins.
Hvis du er blevet angrebet af denne bestemte variant af CTB-locker, eller en anden aktuelt aktiv ransomware, du kan følge nedenstående trin artiklen.
Boot din PC i fejlsikret tilstand
1. For Windows 7, XP og Vista.
2. For Windows 8, 8.1 og 10.I Windows XP, Vista, 7 systemer:
1. Fjern alle cd'er og dvd'er, og derefter Genstart pc'en fra “Start” menu.
2. Vælg en af de to muligheder, der nedenfor:
– For pc'er med et enkelt operativsystem: Tryk “F8” gentagne gange efter den første boot-skærmen dukker op i løbet af genstart af din computer. I tilfælde af Windows-logoet vises på skærmen, du er nødt til at gentage den samme opgave igen.
– For pc'er med flere operativsystemer: Тhe piletasterne vil hjælpe dig med at vælge det operativsystem, du foretrækker at starte i Fejlsikret tilstand. Tryk “F8” lige som beskrevet for et enkelt operativsystem.
3. Som “Avancerede startindstillinger” vises, vælg Fejlsikret tilstand ønskede indstilling ved hjælp af piletasterne. Som du gøre dit valg, presse “Indtast“.
4. Log på computeren ved hjælp af din administratorkonto
Mens computeren er i fejlsikret tilstand, ordene “Fejlsikret tilstand” vises i alle fire hjørner af skærmen.
Trin 1: Åbn Start Menu
Trin 2: Mens holde Shift knap, Klik på Magt og klik derefter på Genstart.
Trin 3: Efter genstart, den aftermentioned menuen vises. Derfra skal du vælge Fejlfinde.
Trin 4: Du vil se Fejlfinde menu. Fra denne menu kan du vælge Avancerede indstillinger.
Trin 5: Efter Avancerede indstillinger menu vises, Klik på Startup Indstillinger.
Trin 6: Klik på Genstart.
Trin 7: En menu vises ved genstart. Du bør vælge Fejlsikret tilstand ved at trykke på dens tilsvarende nummer og maskinen genstarter.
Fjern CTB-Locker med SpyHunter Anti-Malware værktøj
1. Installer SpyHunter at scanne efter og fjerne CTB-Locker.2. Scan med SpyHunter at opdage og fjerne CTB-Locker.
Det anbefales stærkt at køre en scanning, før du køber den fulde version af softwaren for at sikre, at den nuværende version af malware kan påvises ved SpyHunter.
Trin 2: Guide dig selv ved download vejledningen for hver browser.
Trin 3: Når du har installeret SpyHunter, vente på, at automatisk opdatere.
Trin 1: Efter opdateringen er færdig, klik på 'Scan computer nu’ knap.
Trin 2: Efter SpyHunter har færdig med at scanne din pc for enhver CTB-Locker filer, klik på 'Fix Trusler’ for at fjerne dem automatisk og permanent.
Trin 3: Når indtrængen på din pc er blevet fjernet, Det anbefales stærkt at genstarte den.
Sikkerhedskopiere dine data for at sikre den mod angreb i fremtiden
VIGTIGT! Før du læser Windows instruktioner backup, vi anbefaler at sikkerhedskopiere dine data automatisk med cloud backup og forsikre den mod enhver form for tab af data på din enhed, selv de mest alvorlige. Vi anbefaler at læse mere om og downloade SOS Online Backup .
For at sikkerhedskopiere dine filer via Windows og forhindre eventuelle fremtidige indtrængen, følge disse instruktioner:
1. For Windows 7 og tidligere 1. For Windows 8, 8.1 og 10 1. Aktivering af Windows Defense Feature (Tidligere versioner)1-Klik på Windows Start-menuen
2-Type Backup og gendannelse
3-Åben den og klik på Set Up Backup
4-Et vindue vises som spørger dig, hvor at oprette backup. Du skal have et flashdrev eller en ekstern harddisk. Markere det ved at klikke på det med musen og klik på Næste.
5-På det næste vindue, systemet vil spørge dig, hvad vil du sikkerhedskopiere. Vælg "Lad mig vælge ' og klik derefter på Næste.
6-Klik på 'Gem indstillinger og køre backup' på det næste vindue for at beskytte dine filer fra mulige angreb fra CTB-Locker.
2-I det vindue typen 'Filehistory' og tryk på Indtast
3-En File History vindue vises. Klik på 'Konfigurer fil historik indstillinger'
4-Konfigurationsmenuen for File History vises. Klik på 'Turn On'. Efter dens på, klik på Vælg drev for at vælge backup-drev. Det anbefales at vælge en ekstern harddisk, SSD eller en USB-nøgle, hvis hukommelseskapacitet er svarer til størrelsen på de filer, du ønsker at tage backup.
5-Vælg det drev og klik på "OK" for at oprette fil backup og beskytte dig mod CTB-Locker.
1- Tryk Windows-knap + R nøgler.
2- En køre-vinduer skal vises. I det seværdighed 'Sysdm.cpl’ og klik derefter på Løbe.
3- A System Properties vinduer skal vises. I den vælge System Protection.
5- Klik på Tænd beskytte systemet og vælg størrelsen på harddisken, du ønsker at benytte for at beskytte systemet.
6- Klik på Ok og du bør se en indikation på Beskyttelse indstillinger at beskyttelsen mod CTB-Locker er på.
Gendannelse af en fil via Windows Defense funktion:
1-Højreklik på den krypterede fil, vælg derefter Egenskaber.
2-Klik på Tidligere versioner fane og derefter markere den sidste version af filen.
3-Klik på Anvende og Ok og filen krypteret med CTB-Locker skal genoprettes.
Fjern CTB-Locker Brug af andre Alternative Værktøj
STOPzilla Anti MalwareTrin 1: Hent STOPzilla af at klikke her.
Trin 2: Et pop-up vindue vises. Klik på 'Gem filen’ knap. Hvis den ikke gør det, klik på knappen Download og gem det bagefter.
Trin 3: Når du har downloadet opsætningen, simpelthen åbne den.
Trin 4: Installatøren skal vises. Klik på 'Næste’ knap.
Trin 5: Kontroller 'Jeg accepterer aftalen' tjek cirkel hvis ikke kontrolleres, hvis du accepterer det og klikke på 'Næste' knappen igen.
Trin 6: Gennemgå og klik på 'Installere’ knap.
Trin 7: Efter installationen er færdig klik på 'Slutte’ knap.
2. Scan din pc med STOPzilla Anti Malware at fjerne alle CTB-Locker tilknyttede filer helt.
Trin 1: Start STOPzilla hvis du ikke har lanceret det efter installation.
Trin 2: Vent på software til automatisk at scanne og derefter klikke på 'Reparer nu’ knap. Hvis det ikke scanne automatisk, klik på 'Scan nu’ knap.
Trin 3: Efter fjernelse af alle trusler og tilhørende genstande, du burde Genstart din pc.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: